Mail Server Hack Versuch über smtp auf den Mailserver

[Cavekeeper]

Hallo Experten,

ich habe mir mal rein zufällig das Log der Syno angeschaut und haben massenweise Einträge gefunden:

postfix/smtpd[6635]: warning: unknown[89.120.218.233]: SASL LOGIN authentication failed: authentication failure

Diese Einträge wurden in Sekunden-Takt geloggt.
Da ich den smtp-Port im Router zur Syno durchgeschliffen habe, gehe ich hier mal von einen Hack Versuch aus. Zumal die IP von einem Server aus Romania stammt.
Einen Einbruch Versuch konnte ich bislang nicht feststellen.
Präventiv habe ich natürlich erst einmal alle Ports im Router geschlossen.
Somit habe ich mich natürlich erst einmal selber ausgeschlossen - keine Mails mehr auf dem Smartphone.
Offensichtlich gilt die Firewall Blockade der Syno nicht für den smtp Port - schade.

Hat hier jemand einen Tipp, wie ich sicher von außen auf den smtp Server meine Mails aufrufen kann?
Das sicherste ist wohl immer, alle Ports zuzumachen. Nur dann sperr' ich mich ja selber aus.

 

[Lontro]

Diese Angriffe sind normaler Alltag und werden von Scriptrobotern durchgeführt die alle bekannten Serviceports abscannen und bei Verbindungsmöglichkeit versuchen mit Standardpasswörtern sich anzumelden.

Der einfachste Weg diese Angriffe zu mildern ist jedoch simpel.
Auf der Routerfirewall die den Port 25 zur Synology auf Port 25 umleitet einfach einen hohen Port für aussen verwenden, z.B:

Extern: Port 23425 auf interne Synology Adresse Port 25.

Gleiches kann man auch für die Ports von POP3 und IMAP durchführen. Auf dem Smartphone diese Ports für SMTP und POP3/IMAP Server verwenden.

Somit müsste ein Hackerscript alle 65000 möglichen Ports auf eine Verbindung prüfen. Alleine aus Zeit- und Ressourcengründen macht das aber keiner.

Einen Nachteil hat die Konfiguration jedoch. Andere Emailserver versenden immer in Richtung Port 25. Sie können nicht wissen das der Port auf 23425 zu finden ist. Aber wenn man als alleiniger Benutzer den SMTP verwendet um von dort aus Emails zu versenden ist es kein Problem.

 

[Cavekeeper]

vielen Dank für den Tipp.
Hört sich simpel an - werde ich direkt mal umsetzen.

Was bleibt, ist ein ungutes Gefühl, dass Angriffe weiterhin möglich wären.
Sauberer wäre es, wenn die Syno die IP´s gleich direkt nach dem 3. Fehlversuch blockt.
Oder, mir eine Mail zukommen läßt, dass im Mailserver entsprechende Logeinträge vorhanden sind.
Hätte ich die Logs nicht zufällig durchsucht, hätte ich es womöglich nicht gemerkt, oder erst wenn der Eindringling Schaden anrichtet.

Der Syslog Server, der auch die Logs der Syno bekommt, hat jedenfalls nichts dergleichen mitbekommen.

 

[der-krueger]

Hast Du im Control Panel den Auto Block aktiviert? Der müsste das eigentlich zuverlässig unterbinden.

Bei mir hat auch ein Domain Provider Wechsel geholfen, seid dem hab ich keine unbekannten Einlogversuche mehr.

 

[Cavekeeper]

Ja, Auto Block ist aktiviert. Funktioniert auch für die "normalen" Web-Seiten. Allerdings wohl nicht für den smtp Port. Sonst hätte es geblockt werden müssen.

 

[Lontro]

vielen Dank für den Tipp.
Hört sich simpel an - werde ich direkt mal umsetzen.

Was bleibt, ist ein ungutes Gefühl, dass Angriffe weiterhin möglich wären.
Sauberer wäre es, wenn die Syno die IP´s gleich direkt nach dem 3. Fehlversuch blockt.

Ein gutes Passwort und die Nutzung von TLS sind eigentlich schon Absicherung genug. Solange keine einfachen Wörterbuchpasswörter verwendet werden kann sich doch das Script-Kiddie die Zähne ausbeissen lassen.

 

[borg2k]

Der einfachste Weg diese Angriffe zu mildern ist jedoch simpel.
Auf der Routerfirewall die den Port 25 zur Synology auf Port 25 umleitet einfach einen hohen Port für aussen verwenden, z.B:

Extern: Port 23425 auf interne Synology Adresse Port 25.

Die Methode kann man u.a. auch für FTP benutzen, so mach ich es zumindest bei mir.

 

[Cavekeeper]

Welche Range an Ports steht denn da überhaupt zur Verfügung, von bis?
Irgendwo muss da ja Feierabend sein, 50000, 60000.....

 

[Ap0phis]

256*256 = 65536

Die höchst mögliche Port-Nr. ist also 65535.

 

[stargate2k]

Hi,

dass sollte man vll an Synology melden wenn es die Anfragen am SMTP Port nicht sperrt wenn Autoblock an ist.

mfg stargate

 

[Cavekeeper]

das habe ich gerade mal getestet. Der Autoblock funktioniert definitiv auch für das Roundcube Webmail nicht.
Offensichtlich liegt es daran, dass es sich hier um eine App handelt, die nicht direkt an die Firewall der DSM gekoppelt ist.
Ergo, hier sind sichere Passwörter gefragt.

 

[h1bast]

Was bleibt, ist ein ungutes Gefühl, dass Angriffe weiterhin möglich wären.
Sauberer wäre es, wenn die Syno die IP´s gleich direkt nach dem 3. Fehlversuch blockt.
Oder, mir eine Mail zukommen läßt, dass im Mailserver entsprechende Logeinträge vorhanden sind.
Hätte ich die Logs nicht zufällig durchsucht, hätte ich es womöglich nicht gemerkt, oder erst wenn der Eindringling Schaden anrichtet.

Für so etwas kann man sich Fail2Ban installieren, das macht genau das was du dir wünscht.

h1

 

[Lontro]

Ja, Fail2Ban kann die Firewall entsprechend nach Logeinträgen sperren.
Dafür muss Python installiert werden, vielleicht funktioniert auch das Debian Paket auf der DS.

Die Regex in der Konfiguration muss dann so aussehen:

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed [A-Za-z0-9+/]*={0,2})?$